石化盈科李超:大型央企的安全运营实践

在8月22日,2019北京网络安全大会上,中国石化攻防团队负责人、石化盈科安全运营中心负责人李超分享大型央企安全运营实践。

大型企业安全运营的难点和重点

李超谈到,全球的网络安全形势非常严峻,不管是政治目的,还是商业利益目的,大型央企都是重点目标,尤其是石油化工行业和板块。同时国家监管机构对中国石化为代表的关键基础设施检查的力度以及相应的处理措施是非常严格的。中石化每天面临全球的威胁攻击,从日常安全事件分析结果看,攻击频次非常高,尤其近几年在东南亚地区发现了大量针对中石化的邮件诈骗事件,严峻的形势对安全运营产生了非常大的挑战。

中国石化作为世界500强排名第二的企业,全球分布非常庞大,网络覆盖面广、数据中心众多,整体网络延伸到五大洲、30余个国家,国内32个省自治区直辖市,150多个企业,涉及用户数量达百万级。众所周知,攻防对于攻击者来说是一个点,而对于防守方来说是一个面,如果有一个点被突破,那么整个网络可能就面临全面失陷和数据丢失的严峻问题,这对大型企业来说是最难的。另外,中石化不仅仅是设备多,网络环境复杂,业务场景也高度复杂,科研、工程、贸易、金融、电商等相应的业务信息系统复杂度也极高。未来,中石化的信息化将走向端、边、管、云的一体化融合,这也给网络安全运营带来了全新的挑战。

中国石化安全运营的探索与实践

中国石化安全运营的建设是一个稳扎稳打的过程,先从运营平台着手,平台建设期间并行组建运营团队,完善运营机制及流程,逐渐形成运营体系。目前中国石化安全运营中心以监控、分析、处置为三大关键点,形成安全运营主线。监控团队负责总部及区域中心出口监控、各大数据中心及重点应用安全监控,监控发现威胁之后,接下来交由分析团队进行威胁分析和研判。分析团队主要负责对疑似攻击行为、入侵影响范围和攻击态势进行分析。分析研判完成之后,接着由处置团队进行快速处置,包括:恶意IP封禁、阻断恶意邮件、应用隔离、问题终端处置等。在处置方面,重点是以点带面、全局处置。

同时,中石化内部各个团队之间的依托总部即时通讯的平台以及6000热线,面向集团五大板块进行全方位的运营支撑。运营团队不仅向集团进行及时的汇报和通讯,也向国家主管机构输送情报和安全事件,同时国家主管机构的数据、情报、通报也会及时落地到运营中心,通过运营中心给各企业及时输送预警信息。目前中国石化运营中心已经完全运营起来。

在多年的运营工作中,团队积累了丰富的运营经验,尤其是在运营平台的深化应用方面,始终坚持以实战为导向,以实战为检验的唯一标准。运营团队持续针对日常发现的攻击行为以及攻防演习中的攻击场景进行溯源分析,依托态势感知平台结合威胁建模及大数据分析技术,通过对攻击方法、攻击路线、攻击套路进行总结与提炼形成了中石化特有的攻击检测模型,这些规则精准的覆盖了攻击链的每一个关键环节,并经受住了国家级攻防演习的实战考验,大大降低了传统安全设备的告警误报及噪音问题,极大的提高了安全运营的实战效果及工作效率。

在安全运营方面的思考

李超提到,未来安全运营希望能够实现自动化、智能化、集中化和体系化。

自动化:态势感知平台虽然已经进行了精准关联,基本上百分之七八十以上的精准关联都是非常有效的,这其实相当不容易。业内的传统平台(或技术)还需要再进行大量的提升和改进,告警事件和误报还是挺多的,未来希望能实现自动化分析,不能全部靠人去分析。

智能化:目前的分析方式主要是依托于攻击行为进行溯源分析,未来应该结合用户行为、业务场景实现自动化分析,同时融入机器学习、AI技术,实现自动化处理。

集中化:中石化下一步要打造三位一体的安全运营体系,总部、区域中心、企业这三个层级,每个层级的安全事件、告警会直接的通过总部联动起来,真正实现集团集中化运营。

体系化:安全事件从告警、分析、处置,如果要成为一个闭环,除了技术主要还是依托集团完善的安全管理体系。“三分技术、七分管理”一直是落实好安全运营工作的核心指导思想。比如,中石化针对告警、攻击等安全事件,都会形成一个安全通报文件,直接下发到相关的企业,通过安全通报和安全水平考核体系相结合的方式,真正把一个安全事件形成闭环,未来希望能够继续加强安全管理方面的建设。在这一点上,中石化的信息化考核体系走的比较靠前,效果非常好,但未必适合所有,对于业内的其他企业来说,安全运营还有很长的路要走,要一步一步建设,每一步都要走的扎实才行。